Kahetasemeline autentimine oleks aidanud

Ardi Jürgens
Jaga:

Päeval mil algas Venemaa järjekordne sissetung Ukrainasse, hoiatasin siin blogis eesootavate turbulentsete aegade eest ja palusin, et seekord võiks “lennusaatja” soovitusi kuulda võtta. Täna tuletan taaskord meelde toonast peamist sõnumit, milleks on vajadus kõikjal, kus vähegi võimalik, kasutada kahetasemelist autentimist.

Hoia kurjategijad eemal: kasuta kõikjal kus vähegi võimalik, kahetasemelist autentimist.

Zone pakub kahetasemeliseks autentimiseks mitmeid võimalusi. Nendest levinuim on Google Authenticatori, Authy ja teiste sarnase funktsionaalsusega mobiiliäppide poolt kasutatav TOTP standard.

Seda universaalset ja mugavat võimalust saavad meie kliendid ja nende kasutajad tarbida nii oma ZoneID kasutaja juures kui ka Zone veebipõhises e-posti kliendis.

Lisaks toetame Zones loomulikult Eestis levinud ja juba olemuslikult kahetasemelisi autentimisvahendeid nagu ID-kaart, Mobiil-ID ja Smart-ID. Kui on võimalus ja valmisolek sellist vahendit kasutada, siis soovitame oma ZoneID osas salasõnaga autentimise üldse välja lülitada.

Eriti palun, et seda sõnumit võtaks kuulda professionaalid, kes kannavad hoolt teiste ettevõtete ja organisatsioonide veebimajutuse ja muude IT-teenuste eest.

Olen kuulnud, et paljud sellised kasutajad ei kasuta kahe faktoriga autentimist, sest nad leiavad, et kui ühele ZoneID kontole peab ligi saama mitu isikut, siis on salasõna jagamine selleks ainus hea võimalus ja kahe faktoriga autentimine muudab jagamise ebamugavaks.

Tegelikult nii ei ole.

Ühe lihtsa, aga mitte nii mugava, võimaluse ZoneID kontot jagada pakuvad Eesti “vanad head” isikustatud autentimisvahendid ID-kaart, Mobiil-ID või Smart-ID, kui ZoneID seotakse mitme inime isiku autentimisvahendiga (ja ühtlasi isikukoodiga), siis saavad kõik need isikud kontot hallata end nendega autentides.

Mugavaima ja korrektseima võimaluse ligipääsu jagamiseks Zone teenustele pakub aga see, kui iga seda haldav isik teeb endale oma ZoneID konto, nendele kontodele delegeerib Zone teenuse omanik vastavad õigused ja haldavate kontode omanikke juhendatakse kasutama ID-kaarti, Mobiil-ID’d või Smart-ID’d enese autentimiseks.

Mõlemal juhul soovitame salasõnaga autentimise sellistel kontodel üldse välja lülitada.

Põhjuseid selle soovituse ülekordamiseks on mitmeid, kuid peamiseks on see, et me tuvastame praktikas pidevalt, kuidas katsed kasutajate salasõna ära arvata on sisuliselt jäänud minevikku ja kurjategijad sisenevad kompromiteeritud kontole edukalt juba esimesel katsel.

Kolm peamist ründevektorit, mis seda tõenäoliselt võimaldavad on järgmised:

  • kasutaja arvuti on nakatunud pahavaraga ja tema salasõnu kuulati kas klaviatuurilt pealt või varastati brauserisse salvestatud salasõnad
  • kasutaja on usaldanud oma salasõna välisele teenusele, kust see on varastatud ja lahti murtud
  • kasutaja on läinud õngitsusrünnaku ohvriks ja sisestanud oma salasõna kurjategija veebilehele.

Viimased kaks võivad olla ka omavahel seotud, sest kui LastPassist varastati nende salasõnade talletamisteenuse klientide andmed, siis läks nendega kasutama ka klientide meta-data, mis sisaldas kasutajanimesid, e-posti aadresse, ettevõtete andmeid jne, mis võimaldavad nüüd kurjategijatel luua äärmiselt hästi sihitud õngitsusrünnakuid.

Kahetasemeline autentimine aitab maandada kõiki neid riske ja kuna selle kasutamine on hetkel lisaks ka meie kulul, siis ei ole põhjust neid võimalusi mitte kasutada. Sest isegi kui salasõna mõnel ülalloetletud viisil lekiks, siis kahetasemeline autentimine päästaks päeva.

Populaarsed postitused

Zone+ Turvamonitooring tagab rahuliku ööune

Zone+ Turvamonitooring tagab rahuliku ööune

Kaarel Urva
Veebilehe turvalisuse tagamise olulisuses ei kahtle tänapäeval enam mitte keegi. Sellegipoolest tuleme põhitõdede juurde käesolevas blogipostituses...

Toores jõud ja nutikus - võitmatu kooslus

Ardi Jürgens
Saame taaskord kinnitada, et just Zone klientide käsutuses on parim võimalik veebimajutuse platvorm. Juba täna teenindavad osasid meie klientide serverid,...

Repositooriumite seadistamine Composeriga

Ingmar Aasoja
Käesolevaga toome lugejani veebiarenduse tööd hõlbustava Composeri-nimelise pakihalduriga seotud blogiseeria kolmanda postituse, milles küsimusele:...

.COM domeen kallineb ka tänavu

Jaanus Putting
Ehkki oleme kolm viimast suve siinsamas blogis kirjutanud, et .com domeeni hinnatõusule saabub 2024. aastal paus, on selle tippdomeeni register otsustanud...